GDPR v kostce: Vše co jste chtěli vědět, ale báli jste se zeptat

GDPR (General Data Protection Regulation) je nařízení Evropské unie, které vstoupí v účinnost 25. 5. 2018. Jeho cílem je zvýšit úroveň ochrany osobních údajů a posílit práva občanů Evropské unie v této oblasti. Přehledné informace přináší Sberbank.

Ilustrační fotografie
reklama

Co to je?

Je to nařízení evropské unie, které je účinné od 25. května 2018

Na koho se vztahuje?

GDPR se vztahuje na všechny organizace, které sbírají, zpracovávají a uchovávají osobní údaje občanů EU. Týká se osobních údajů fyzických osob, v případě banky tedy primárně retailových klientů (včetně fyzických osob podnikatelů) a zaměstnanců. U firemních klientů se GDPR hlavně týká kontaktních osob.

Co obsahuje?

GDPR definuje pravidla pro nakládání a ochranu osobních údajů a zároveň stanovuje postupy a sankce v případě, že bude porušeno zabezpečení osobních údajů.

GDPR posiluje stávající a definuje nová práva klientů a zaměstnanců. Klíčovými jsou právo na informace, právo na přístup, právo na omezení zpracování a právo na výmaz.

Porušení zabezpečení osobních údajů

Znamená narušení bezpečnosti vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Co GDPR znamená v praxi?

Především vedení podrobných evidencí. Kde všude s osobními údaji pracujeme? Jaké konkrétní osobní údaje zpracováváme a k jakým účelům? Kde jsou osobní údaje uloženy (fyzicky, elektronicky)? Jak jsou osobní údaje chráněny? Kdo má k osobním údajům přístup?

Souhlas se zpracováním osobních údajů

je nutný u všech zpracování, kde není právním titulem pro zpracování zákonná povinnost, oprávněný zájem banky nebo splnění smlouvy. Souhlas musí být svobodný, informovaný a prokazatelný. Klient může souhlas kdykoliv odvolat.

Vše co jste chtěli vědět o GDPR, ale báli jste se zeptat

GDPR je nová norma ochrany osobních údajů, která zavádí přísné požadavky na firmy, aby zajistily důvěrnost osobních údajů, navíc velmi výrazně zvyšují pokuty v případě, že firmě uniknou důvěrné informace.

Zároveň dává lidem či zákazníkům nová práva a výrazně posiluje jejich postavení v případném sporu s firmami v případě zneužití jejich osobních údajů.

Naplnění požadavků GDPR není otázkou jednoho oddělení, ale dotklo se úplně každého útvaru, zaměstnance, procesu a IT aplikace v naší bance. Někde byly úpravy snadné, v jiných případech se jedná o významný zásah.

Našim cílem bylo mimo jiné nastavit procesy, postupy a upravit naše IT systémy tak, aby dokázaly zajistit nová práva klientů (být zapomenut, změny v souhlasech).

Dále zajistit bezpečnost dat klientů ať už v IT systémech, souborech, IT testovacích prostředích, při posílání po síti nebo e-mailem. A též umět zjistit podezření na únik dat a splnit povinnost informovat státní orgány a klienty o případech narušení bezpečnosti dat.

GDPR  a dopad na klienty

Smyslem nařízení evropské unie tzv. GDPR je poskytnout klientovi informace zejména o tom, jaké osobní údaje shromažďujeme, jak s nimi nakládáme, z jakých zdrojů je získáváme, komu je smíme poskytnout atd.

Právo na přístup dává klientům zejména možnost ověřit si zákonnost zpracování jejich údajů. Každý klient tedy bude mít právo vědět a být informován o tom, za jakým účelem se osobní údaje zpracovávají – znát období, po které budou údaje uchovávány, znát příjemce jeho osobních údajů atd.

Jaká práva dává občanům GDPR

Jedním z největších dopadů nařízení je posílení práv občanů. Jedná se o následující práva.

Právo na přístup umožňuje ověřit si zákonnost a účel zpracování osobních údajů.

Právo na opravu umožňuje požádat danou společnost o opravu nesprávně uvedených údajů.

Právo na výmaz umožňuje požádat správce o bezodkladný výmaz osobních údajů, pokud je dán jeden z těchto důvodů:

  • Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
  • Zpracování je založeno na souhlasu a neexistuje žádný další právní důvod pro zpracování.
  • Osobní údaje byly zpracovány protiprávně.
  • Se zpracováním osobních údajů dětí nebyl dán rodičovský souhlas.
  • Vznikla právní povinnost stanovená právem Unie nebo členským státem.

Právo být zapomenut je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie.

Právo na omezení zpracování umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování osobních údajů, tj. znepřístupnit vybrané osobní údaje (na internetu), zabránit využívání a zpracování údajů (pro marketingové účely) nebo zabránit provádění změn údajů.

Právo na přenositelnost umožňuje v případě automatizovaného zpracování osobních údajů získat svoje osobní údaje poskytnuté správci a tyto předat jinému správci (např. přenos tel. čísla mezi operátory). 

Doporučujeme

Související:

Fokus
Aktuálně
Doporučujeme
Zobrazit: mobil | klasicky